9
Postfix u. Exchange. Spammail mit internen Absender kommt durch
Postfix blockiert externe Mails mit der eigenen Domain
Trotzdem schafft es ein Spammer eine Mail an eine Mailaktivierte Exchange-Gruppe mit dessen Absender zu schicken:
Mar 12 09:55:28 mail postfix/smtpd[11165]: connect from 60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:28 mail postfix/smtpd[11165]: F08D736B1A: client=60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:37 mail postfix/qmgr[1624]: E4B9836C96: from=<snickeredxn@royalamerican.com>, size=216052, nrcpt=1 (queue active)
Mar 12 09:55:37 mail amavis[11066]: (11066-07) Passed CLEAN, [85.207.75.60] [85.207.75.60] <snickeredxn@royalamerican.com> -> <sales@xxx.com>, Message-ID: <000d01cac1c1$aa1bd4c0$6400a8c0@snickeredx
n>, mail_id: 0r+LGqPYlAkM, Hits: -, queued_as: E4B9836C96, 6571 ms
Die Gruppe Sales erhält eine Mail mit dem Absender Sales@xxx.com inkl. Virusdatei und ohne SPAM-Tack.
kann sich das jemand erklären?
Trotzdem schafft es ein Spammer eine Mail an eine Mailaktivierte Exchange-Gruppe mit dessen Absender zu schicken:
Mar 12 09:55:28 mail postfix/smtpd[11165]: connect from 60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:28 mail postfix/smtpd[11165]: F08D736B1A: client=60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:37 mail postfix/qmgr[1624]: E4B9836C96: from=<snickeredxn@royalamerican.com>, size=216052, nrcpt=1 (queue active)
Mar 12 09:55:37 mail amavis[11066]: (11066-07) Passed CLEAN, [85.207.75.60] [85.207.75.60] <snickeredxn@royalamerican.com> -> <sales@xxx.com>, Message-ID: <000d01cac1c1$aa1bd4c0$6400a8c0@snickeredx
n>, mail_id: 0r+LGqPYlAkM, Hits: -, queued_as: E4B9836C96, 6571 ms
Die Gruppe Sales erhält eine Mail mit dem Absender Sales@xxx.com inkl. Virusdatei und ohne SPAM-Tack.
kann sich das jemand erklären?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138101
Url: https://administrator.de/contentid/138101
Printed on: April 16, 2024 at 13:04 o'clock
9 Comments
Latest comment
Zitat von @wush2007:
Postfix blockiert externe Mails mit der eigenen Domain
Trotzdem schafft es ein Spammer eine Mail an eine Mailaktivierte Exchange-Gruppe mit dessen Absender zu schicken:
Mar 12 09:55:28 mail postfix/smtpd[11165]: connect from 60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:28 mail postfix/smtpd[11165]: F08D736B1A: client=60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:37 mail postfix/qmgr[1624]: E4B9836C96: from=<snickeredxn@royalamerican.com>, size=216052, nrcpt=1 (queue
active)
Mar 12 09:55:37 mail amavis[11066]: (11066-07) Passed CLEAN, [85.207.75.60] [85.207.75.60] <snickeredxn@royalamerican.com>
-> <sales@xxx.com>, Message-ID: <000d01cac1c1$aa1bd4c0$6400a8c0@snickeredx
n>, mail_id: 0r+LGqPYlAkM, Hits: -, queued_as: E4B9836C96, 6571 ms
Die Gruppe Sales erhält eine Mail mit dem Absender Sales@xxx.com inkl. Virusdatei und ohne SPAM-Tack.
kann sich das jemand erklären?
Postfix blockiert externe Mails mit der eigenen Domain
Trotzdem schafft es ein Spammer eine Mail an eine Mailaktivierte Exchange-Gruppe mit dessen Absender zu schicken:
Mar 12 09:55:28 mail postfix/smtpd[11165]: connect from 60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:28 mail postfix/smtpd[11165]: F08D736B1A: client=60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:37 mail postfix/qmgr[1624]: E4B9836C96: from=<snickeredxn@royalamerican.com>, size=216052, nrcpt=1 (queue
active)
Mar 12 09:55:37 mail amavis[11066]: (11066-07) Passed CLEAN, [85.207.75.60] [85.207.75.60] <snickeredxn@royalamerican.com>
-> <sales@xxx.com>, Message-ID: <000d01cac1c1$aa1bd4c0$6400a8c0@snickeredx
n>, mail_id: 0r+LGqPYlAkM, Hits: -, queued_as: E4B9836C96, 6571 ms
Die Gruppe Sales erhält eine Mail mit dem Absender Sales@xxx.com inkl. Virusdatei und ohne SPAM-Tack.
kann sich das jemand erklären?
Ohne deine Header_Checks zu sehen sicher nicht.
/etc/postfix/header_checks:
/^Received:.*from.*exch\.xxx\.de.*192\.168\.9\.30\]\)(.*)/ REPLACE Received: from smtp-int.xxx.de (smtp-int.xxx.de [10.20.30.40])$1
/^Received:.*192\.168\.1\./ IGNORE
/^Received:.*192\.168\.4\./ IGNORE
/^Received:.*192\.168\.2\./ IGNORE
/^Received:.*192\.168\.3\.100/ IGNORE
/^Content-class:.*urn:content-classes:message/ IGNORE
/^Thread-Index:/ IGNORE
/^Thread-Topic:/ IGNORE
/^X-MS-Has-Attach:/ IGNORE
/^X-Mailer:/ IGNORE
/^X-MS-TNEF-Correlator:/ IGNORE
/^X-MimeOLE:/ IGNORE
/^X-MIME-Autoconverted:/ IGNORE
/^Message-ID:/ IGNORE
/^Received:.*127\.0\.0\.1/ IGNORE
/^X-Virus-Scanned:/ IGNORE
Header von der Mail:
Microsoft Mail Internet Headers Version 2.0
Received: from mail.xxx.de ([192.168.9.100]) by exch.xxx.de with Microsoft SMTPSVC(6.0.3790.3959);
Fri, 12 Mar 2010 09:55:37 +0100
X-Spam-Score: -
X-Spam-Level:
X-Spam-Status: No, score=x tagged_above=-99 required=5 tests=
Received: from 60-75-207-85.cechy.dsl.static.bluetone.cz (60-75-207-85.cechy.dsl.static.bluetone.cz [85.207.75.60])
by mail.xxx.de (Postfix) with ESMTP id F08D736B1A
for <sales@xxx.de>; Fri, 12 Mar 2010 09:55:28 +0100 (CET)
Received: from 85.207.75.60 by mail.messaging.microsoft.com; Fri, 12 Mar 2010 09:54:46 +0100
From: "Philip Sibbons" <sales@xxx.de>
To: <sales@xxx.de>
Subject: Online order for airplane ticket N0SVWAGP4
Date: Fri, 12 Mar 2010 09:54:46 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_01CAC1C1.AA1BD4C0"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20100312085536.E4B9836C96@mail.xxx.de>
Return-Path: snickeredxn@royalamerican.com
X-OriginalArrivalTime: 12 Mar 2010 08:55:37.0065 (UTC) FILETIME=[C8877590:01CAC1C1]
=_NextPart_000_0006_01CAC1C1.AA1BD4C0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-1";
reply-type=original
Content-Transfer-Encoding: 7bit
=_NextPart_000_0006_01CAC1C1.AA1BD4C0
Content-Type: application/zip;
name="eTicket.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="eTicket.zip"
=_NextPart_000_0006_01CAC1C1.AA1BD4C0--
/^Received:.*from.*exch\.xxx\.de.*192\.168\.9\.30\]\)(.*)/ REPLACE Received: from smtp-int.xxx.de (smtp-int.xxx.de [10.20.30.40])$1
/^Received:.*192\.168\.1\./ IGNORE
/^Received:.*192\.168\.4\./ IGNORE
/^Received:.*192\.168\.2\./ IGNORE
/^Received:.*192\.168\.3\.100/ IGNORE
/^Content-class:.*urn:content-classes:message/ IGNORE
/^Thread-Index:/ IGNORE
/^Thread-Topic:/ IGNORE
/^X-MS-Has-Attach:/ IGNORE
/^X-Mailer:/ IGNORE
/^X-MS-TNEF-Correlator:/ IGNORE
/^X-MimeOLE:/ IGNORE
/^X-MIME-Autoconverted:/ IGNORE
/^Message-ID:/ IGNORE
/^Received:.*127\.0\.0\.1/ IGNORE
/^X-Virus-Scanned:/ IGNORE
Header von der Mail:
Microsoft Mail Internet Headers Version 2.0
Received: from mail.xxx.de ([192.168.9.100]) by exch.xxx.de with Microsoft SMTPSVC(6.0.3790.3959);
Fri, 12 Mar 2010 09:55:37 +0100
X-Spam-Score: -
X-Spam-Level:
X-Spam-Status: No, score=x tagged_above=-99 required=5 tests=
Received: from 60-75-207-85.cechy.dsl.static.bluetone.cz (60-75-207-85.cechy.dsl.static.bluetone.cz [85.207.75.60])
by mail.xxx.de (Postfix) with ESMTP id F08D736B1A
for <sales@xxx.de>; Fri, 12 Mar 2010 09:55:28 +0100 (CET)
Received: from 85.207.75.60 by mail.messaging.microsoft.com; Fri, 12 Mar 2010 09:54:46 +0100
From: "Philip Sibbons" <sales@xxx.de>
To: <sales@xxx.de>
Subject: Online order for airplane ticket N0SVWAGP4
Date: Fri, 12 Mar 2010 09:54:46 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_01CAC1C1.AA1BD4C0"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20100312085536.E4B9836C96@mail.xxx.de>
Return-Path: snickeredxn@royalamerican.com
X-OriginalArrivalTime: 12 Mar 2010 08:55:37.0065 (UTC) FILETIME=[C8877590:01CAC1C1]
=_NextPart_000_0006_01CAC1C1.AA1BD4C0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-1";
reply-type=original
Content-Transfer-Encoding: 7bit
=_NextPart_000_0006_01CAC1C1.AA1BD4C0
Content-Type: application/zip;
name="eTicket.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="eTicket.zip"
=_NextPart_000_0006_01CAC1C1.AA1BD4C0--
Hallo,
in deiner header_checks sehe ich nix, wo du geforgde Mails rejecten würdest.
Am besten schaust du dir das hier mal an und passt es entsprechend an.
http://www.postfix.org/BACKSCATTER_README.html#forged_sender
in deiner header_checks sehe ich nix, wo du geforgde Mails rejecten würdest.
Am besten schaust du dir das hier mal an und passt es entsprechend an.
http://www.postfix.org/BACKSCATTER_README.html#forged_sender
Hallo,
mir leuchtet das noch nicht ein.
Die Mail stammt von snickeredxn@royalamerican.com aber taucht in Outlook als sales@xxx.com auf.
Wie funktioniert das?
Wenn ich eine geforgde Mail schicke sieht das so aus:
Mar 12 10:34:36 mail postfix/smtpd[11567]: NOQUEUE: reject: RCPT from unknown[87.230.9.100]: 554 5.7.1 <mailx.xxx.com>: Helo command rejected: You are not me; from=<root@xxx.com> to=<sales@xxx.com> proto=ESMTP helo=<mailx.xxx.com>
Die Mail wird durch helo_access blockiert.
Danke für Deine Hilfe
Viele Grüße
mir leuchtet das noch nicht ein.
Die Mail stammt von snickeredxn@royalamerican.com aber taucht in Outlook als sales@xxx.com auf.
Wie funktioniert das?
Wenn ich eine geforgde Mail schicke sieht das so aus:
Mar 12 10:34:36 mail postfix/smtpd[11567]: NOQUEUE: reject: RCPT from unknown[87.230.9.100]: 554 5.7.1 <mailx.xxx.com>: Helo command rejected: You are not me; from=<root@xxx.com> to=<sales@xxx.com> proto=ESMTP helo=<mailx.xxx.com>
Die Mail wird durch helo_access blockiert.
Danke für Deine Hilfe
Viele Grüße
Hallo,
die fälschen wohl das from und return to feld im header.
die fälschen wohl das from und return to feld im header.
Hallo,
für die Anzeige des Absenders nehmen Mailclients das Header-From, nicht das Envelope-From - das wird nämlich beim Ablegen der Mail im Postfach nicht mit gespeichert. Und Header-From und Envelope-From müssen nicht gleich sein.
Gruß
Filipp
für die Anzeige des Absenders nehmen Mailclients das Header-From, nicht das Envelope-From - das wird nämlich beim Ablegen der Mail im Postfach nicht mit gespeichert. Und Header-From und Envelope-From müssen nicht gleich sein.
Gruß
Filipp
Hallo,
vielen Dank für die Hilfe. Tatsache, das from Feld im Header wurde gefälscht und das wird nicht überprüft.
Was würdet ihr mir empfehlen?
Blockiert ihr solche Mails?
Gruß
vielen Dank für die Hilfe. Tatsache, das from Feld im Header wurde gefälscht und das wird nicht überprüft.
Was würdet ihr mir empfehlen?
Blockiert ihr solche Mails?
Gruß
Hallo,
unsere header_checks lässt keine Mails von außen durch, die behaupten von uns zu sein.
unsere header_checks lässt keine Mails von außen durch, die behaupten von uns zu sein.
zeigst du mir deine header_checks?
Nachtrag:
Habe mal für Testzwecke diesen hinzugefügt (regexp):
/^(From|Return-Path):.*@xxx\.com/ WARN
Nachtrag:
Habe mal für Testzwecke diesen hinzugefügt (regexp):
/^(From|Return-Path):.*@xxx\.com/ WARN